La Dirección Nacional de Ciberseguridad de Rumanía (DNSC) confirmó que el grupo de ransomware Lynx comprometió los sistemas de Electrica Group, uno de los mayores proveedores de electricidad del país.
Electrica, que opera desde el año 2000 y abastece a más de 3.8 millones de usuarios en Muntenia y Transilvania, reportó el lunes que estaba investigando un ataque en curso en colaboración con las autoridades nacionales de ciberseguridad.
El Ministro de Energía de Rumanía, Sebastian Burduja, tranquilizó al público al informar que los sistemas críticos, incluidos los sistemas SCADA, permanecieron aislados y no resultaron afectados por el ataque.
Respuesta de DNSC y Medidas Inmediatas
- La DNSC emitió un script YARA diseñado para ayudar a otras organizaciones a identificar binarios maliciosos relacionados con este ransomware.
- Se recomendó a las entidades no pagar el rescate exigido por los atacantes y escanear sus infraestructuras de TI en busca de compromisos.
Declaración de DNSC:
“Los sistemas críticos de suministro eléctrico no han sido afectados y continúan operativos. En caso de infección por ransomware, recomendamos enfáticamente no pagar el rescate.”
La Operación de Ransomware Lynx
El grupo Lynx opera como un servicio de ransomware-as-a-service (RaaS) desde julio de 2024, y ha listado más de 78 víctimas en su sitio web de filtraciones.
Sectores afectados
- Energía, petróleo y gas: Más de 20 entidades comprometidas entre julio y noviembre de 2024.
- Educación, salud, gobierno e industria.
Características del malware
- Lynx utiliza un encryptor basado en el código fuente del ransomware INC Ransom, que apareció a la venta en foros de hacking por $300,000 en mayo de 2024.
- Este ransomware también podría ser una rebranding de INC Ransom para evadir el escrutinio legal.
Victorias recientes
Entre las víctimas notables de INC y Lynx están Yamaha Motor Philippines, el Servicio Nacional de Salud de Escocia (NHS) y la división estadounidense de Xerox Business Solutions (XBS).
Contexto Nacional y Repercusiones
El ataque a Electrica se produce en un contexto de alta actividad cibernética en Rumanía:
- Ataques contra las elecciones presidenciales:
- Más de 85,000 ataques dirigidos contra la infraestructura electoral entre el 19 y el 25 de noviembre de 2024.
- Las elecciones fueron anuladas debido a una campaña de desinformación vinculada a Rusia en TikTok.
- Ataques previos a infraestructuras críticas:
- En febrero de 2024, un ataque de ransomware Backmydata obligó a más de 100 hospitales a desconectar sus sistemas tras un impacto masivo en la gestión de datos de salud.
Recomendaciones para Mitigar el Riesgo
La DNSC y los expertos en ciberseguridad sugieren las siguientes medidas para protegerse de futuras amenazas:
- Uso de herramientas de detección:
- Implementar el script YARA emitido por DNSC para detectar binarios asociados a Lynx.
- Seguridad de sistemas críticos:
- Aislar sistemas SCADA y otros activos esenciales de redes públicas o menos seguras.
- Refuerzo de copias de seguridad:
- Crear y almacenar copias de seguridad fuera de línea para asegurar la continuidad operativa en caso de ataque.
- Educación y formación del personal:
- Entrenar a los empleados para identificar intentos de phishing y otros vectores comunes de infección.
- Colaboración nacional e internacional:
- Establecer alianzas con organismos de ciberseguridad para mejorar la respuesta ante incidentes.
Conclusión
El ataque de ransomware Lynx contra Electrica subraya la creciente amenaza que estos grupos representan para las infraestructuras críticas. Las autoridades y organizaciones afectadas deben actuar con rapidez y determinación para mitigar riesgos, proteger a los usuarios y garantizar la estabilidad de los servicios esenciales.